3月にW3Cで勧告候補になったWeb Authentication仕様。生体認証による利便性と、仕様レベルで組み込まれたフィッシング対策による安全性が特長の新しいWeb認証方式です。 如何にしてWebAuthn仕様が利便性と安全性を両立しているか、サーバーサイドをOSSライブラリとして実装して得られた知見を元に仕様を解説し、また、ブラウザ、認証デバイスの対応状況についても紹介します。
![WebAuthn in a nutshell - NTT Tech Conf #3 (ja)](https://cdn-ak-scissors.b.st-hatena.com/image/square/7f7f56108c2acc68ed1269179ddbb5a7b014787f/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F30f15b25cf484c899a5055f17d2159b3%2Fslide_0.jpg%3F10668457)
パスワードをハッシュで保存して置くのは当たり前ですが、レインボーテーブル使用した総当たり探索の対策として、ソルトとストレッチングを組み合わせ、より安全にパスワードを保存するのが一般的になってきました。 GrailsのSpring Security Core PluginはデフォルトではSHA-256のハッシュでパスワードを保存しますが、ソルトやストレッチングは使用されていません。しかし、そこは認証のデパートSpring Security、ソルトとストレッチングのサポートが組み込まれています。 まずはソルトのサポートから見て行きましょう。 usernameをソルトとする usernameをソルトとして扱うにはConfig.groovyに以下の設定を追加します。 grails.plugins.springsecurity.dao.reflectionSaltSourceProperty = '
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く